Membuat tanggapan khusus terhadap GuardDuty temuan dengan Amazon CloudWatch Events

GuardDuty membuat acara untuk CloudWatch Acara Amazon ketika ada perubahan dalam temuan terjadi. Menemukan perubahan yang akan menciptakan suatu CloudWatch peristiwa termasuk temuan yang baru dihasilkan atau temuan agregat yang baru. Peristiwa dipancarkan atas dasar upaya terbaik.

Setiap GuardDuty temuan diberi ID temuan. GuardDuty membuat CloudWatch acara untuk setiap temuan dengan ID temuan unik. Semua peristiwa berikutnya dari temuan yang ada digabungkan ke temuan asli. Untuk informasi selengkapnya, lihat GuardDuty menemukan agregasi.

catatan

Jika akun Anda adalah administrator yang GuardDuty didelegasikan, CloudWatch acara akan dipublikasikan ke akun Anda serta ke akun anggota tempat temuan itu dihasilkan.

Dengan menggunakan CloudWatch peristiwa dengan GuardDuty, Anda dapat mengotomatiskan tugas untuk membantu Anda menanggapi masalah keamanan yang diungkapkan oleh GuardDuty temuan.

Untuk menerima pemberitahuan tentang GuardDuty temuan berdasarkan CloudWatch Acara, Anda harus membuat aturan CloudWatch Acara dan target untuk GuardDuty. Aturan ini memungkinkan CloudWatch untuk mengirim pemberitahuan untuk temuan yang GuardDuty menghasilkan target yang ditentukan dalam aturan. Untuk informasi selengkapnya, lihat Membuat aturan dan target CloudWatch Acara untuk GuardDuty (CLI).

CloudWatch Frekuensi pemberitahuan acara untuk GuardDuty

Pemberitahuan untuk temuan baru yang dihasilkan dengan ID temuan unik

GuardDuty mengirimkan pemberitahuan berdasarkan CloudWatch acaranya dalam waktu 5 menit setelah temuan. Peristiwa ini (dan notifikasi ini) juga mencakup semua kejadian berikutnya dari temuan ini yang berlangsung dalam 5 menit pertama sejak temuan dengan ID unik ini dihasilkan.

catatan

Secara default, frekuensi pemberitahuan tentang temuan yang baru dihasilkan adalah 5 menit. Frekuensi ini tidak dapat diperbarui.

Pemberitahuan untuk kejadian temuan selanjutnya

Secara default, untuk setiap temuan dengan ID temuan unik, GuardDuty menggabungkan semua kejadian berikutnya dari jenis temuan tertentu yang terjadi dalam interval 6 jam menjadi satu peristiwa tunggal. GuardDuty kemudian mengirimkan pemberitahuan tentang kejadian berikutnya berdasarkan acara ini. Secara default, untuk kejadian berikutnya dari temuan yang ada, GuardDuty mengirimkan pemberitahuan berdasarkan CloudWatch peristiwa setiap 6 jam.

Hanya akun akun administrator yang dapat menyesuaikan frekuensi default pemberitahuan yang dikirim tentang kejadian temuan berikutnya ke CloudWatch peristiwa. Pengguna dari akun anggota tidak dapat menyesuaikan frekuensi ini. Nilai frekuensi yang ditetapkan oleh akun akun administrator di akunnya sendiri dikenakan pada GuardDuty fungsionalitas di semua akun anggotanya. Jika pengguna dari akun akun administrator menetapkan nilai frekuensi ini menjadi 1 jam, semua akun anggota juga akan memiliki frekuensi 1 jam untuk menerima pemberitahuan tentang kejadian temuan berikutnya. Untuk informasi selengkapnya, lihat Mengelola banyak akun di Amazon GuardDuty.

catatan

Sebagai akun administrator, Anda dapat menyesuaikan frekuensi default pemberitahuan tentang kejadian temuan berikutnya. Nilai yang mungkin adalah 15 menit, 1 jam, atau default 6 jam. Untuk informasi tentang menyetel frekuensi notifikasi ini, lihatLangkah 5 - Mengatur frekuensi untuk mengekspor temuan aktif yang diperbarui.

Memantau GuardDuty temuan yang diarsipkan dengan Acara CloudWatch

Untuk temuan yang diarsipkan secara manual, kejadian awal dan semua kejadian selanjutnya dari temuan ini (dihasilkan setelah pengarsipan selesai) dikirim ke CloudWatch Peristiwa per frekuensi yang dijelaskan di atas.

Untuk temuan yang diarsipkan secara otomatis, kejadian awal dan semua kejadian selanjutnya dari temuan ini (dihasilkan setelah pengarsipan selesai) tidak dikirim ke Acara. CloudWatch

CloudWatch format acara untuk GuardDuty

CloudWatch Acara untuk GuardDuty memiliki format berikut.

        {
         "version": "0",
         "id": "cd2d702e-ab31-411b-9344-793ce56b1bc7",
         "detail-type": "GuardDuty Finding",
         "source": "aws.guardduty",
         "account": "111122223333",
         "time": "1970-01-01T00:00:00Z",
         "region": "us-east-1",
         "resources": [],
         "detail": {GUARDDUTY_FINDING_JSON_OBJECT}
        }   
    

catatan

Nilai detail mengembalikan detail JSON dari temuan tunggal sebagai objek, daripada mengembalikan nilai "temuan" yang dapat mendukung beberapa temuan dalam array.

Untuk daftar lengkap semua parameter yang disertakanGUARDDUTY_FINDING_JSON_OBJECT, lihat GetFindings. Parameter id yang muncul di GUARDDUTY_FINDING_JSON_OBJECT adalah ID temuan yang telah dijelaskan sebelumnya.

Membuat aturan CloudWatch Acara untuk memberi tahu Anda tentang GuardDuty temuan (konsol)

Anda dapat menggunakan CloudWatch Events with GuardDuty untuk menyiapkan peringatan pencarian otomatis dengan mengirimkan peristiwa GuardDuty pencarian ke pusat pesan untuk membantu meningkatkan visibilitas GuardDuty temuan. Topik ini menunjukkan cara mengirim peringatan temuan ke email, Slack, atau Amazon Chime dengan menyiapkan topik SNS dan kemudian menghubungkan topik tersebut ke CloudWatch aturan acara Acara.

Mengatur topik Amazon SNS dan titik akhir

Untuk memulai, Anda harus terlebih dahulu mengatur topik di Amazon Simple Notification Service dan menambahkan titik akhir. Untuk informasi selengkapnya, lihat Memulai di Panduan Pengembang Layanan Pemberitahuan Sederhana Amazon.

Prosedur ini menetapkan di mana Anda ingin mengirim data GuardDuty pencarian. Topik SNS dapat ditambahkan ke aturan CloudWatch Acara Acara selama atau setelah pembuatan Aturan Acara.

Email setup

Membuat topik SNS

1. Masuk ke konsol Amazon SNS di https://console.aws.amazon.com/sns/v3/home.

2. Pilih Topik dari panel navigasi, lalu Buat Topik.

3. Di bagian Buat topik, pilih Standar. Selanjutnya, masukkan nama Topik, misalnya GuardDuty_to_Email. Detail lainnya bersifat opsional.

4. Pilih Buat Topik. Detail Topik untuk topik baru Anda akan terbuka.

5. Di bagian Langganan, pilih Buat Langganan

6. 1. Dari menu Protokol, pilih Email.

   2. Di bidang Titik Akhir, tambahkan alamat email untuk menerima notifikasi.

      catatan

      Anda akan diminta untuk mengonfirmasi langganan Anda melalui klien email Anda setelah membuatnya.

   3. Pilih Buat langganan

7. Periksa pesan langganan di kotak masuk Anda dan pilih Konfirmasi Langganan

Slack setup

Membuat topik SNS

1. Masuk ke konsol Amazon SNS di https://console.aws.amazon.com/sns/v3/home.

2. Pilih Topik dari panel navigasi, lalu Buat Topik.

3. Di bagian Buat topik, pilih Standar. Selanjutnya, masukkan nama Topik, misalnya GuardDuty_to_Slack. Detail lainnya bersifat opsional. Pilih Buat topik untuk menyelesaikan.

Mengonfigurasi klien AWS Chatbot

1. Navigasikan ke konsol AWS Chatbot

2. Dari panel Klien yang dikonfigurasi, pilih Konfigurasikan klien baru.

3. Pilih Slack dan konfirmasi dengan "Konfigurasi".

   catatan

   Saat memilih Slack, Anda harus mengonfirmasi izin untuk AWS Chatbot agar dapat mengakses saluran Anda dengan memilih "izinkan".

4. Pilih Konfigurasi saluran baru untuk membuka panel detail konfigurasi.

   1. Masukkan nama untuk saluran.

   2. Untuk saluran Slack, pilih saluran yang ingin Anda gunakan. Untuk menggunakan saluran Slack pribadi dengan AWS Chatbot, pilih Saluran pribadi.

   3. Di Slack, salin ID Saluran dari saluran pribadi dengan mengeklik kanan pada nama saluran dan memilih Salin Tautan.

   4. Pada Konsol Manajemen AWS, di jendela AWS Chatbot, tempel ID yang Anda salin dari slack ke bidang ID saluran pribadi.

   5. Pada bagian Izin, pilih untuk membuat IAM role menggunakan templat, jika Anda belum memiliki peran.

   6. Untuk templat Kebijakan, pilih Izin notifikasi. Berikut adalah templat kebijakan IAM untuk AWS Chatbot. Ini memberikan izin baca dan daftar yang diperlukan untuk CloudWatch alarm, peristiwa dan log, dan untuk topik Amazon SNS.

   7. Pilih Wilayah tempat Anda membuat topik SNS sebelumnya, lalu pilih topik Amazon SNS yang Anda buat untuk mengirim notifikasi ke saluran Slack.

5. Pilih Konfigurasi.

Chime setup

Membuat topik SNS

1. Masuk ke konsol Amazon SNS di https://console.aws.amazon.com/sns/v3/home.

2. Pilih Topik dari panel navigasi, lalu Buat Topik.

3. Di bagian Buat topik, pilih Standar. Selanjutnya, masukkan nama Topik, misalnya GuardDuty_to_Chime. Detail lainnya bersifat opsional. Pilih Buat topik untuk menyelesaikan.

Mengonfigurasi klien AWS Chatbot

1. Navigasikan ke konsol AWS Chatbot

2. Dari panel Klien yang dikonfigurasi, pilih Konfigurasikan klien baru.

3. Pilih Chime dan konfirmasi dengan "Konfigurasi".

4. Dari panel Detail konfigurasi, masukkan nama untuk saluran.

5. Di Chime, buka ruang obrolan yang diinginkan

   1. Pilih ikon roda gigi di sudut kanan atas dan pilih Kelola webhook dan bot.

   2. Pilih Salin URL untuk menyalin URL webhook ke clipboard Anda.

6. Pada Konsol Manajemen AWS, di jendela AWS Chatbot, tempel URL yang Anda salin ke bidang URL Webhook.

7. Pada bagian Izin, pilih untuk membuat IAM role menggunakan templat, jika Anda belum memiliki peran.

8. Untuk templat Kebijakan, pilih Izin notifikasi. Berikut adalah templat kebijakan IAM untuk AWS Chatbot. Ini memberikan izin baca dan daftar yang diperlukan untuk CloudWatch alarm, peristiwa dan log, dan untuk topik Amazon SNS.

9. Pilih Wilayah tempat Anda membuat topik SNS sebelumnya, lalu pilih topik Amazon SNS yang Anda buat untuk mengirim notifikasi ke ruang Chime.

10. Pilih Konfigurasi.

Siapkan CloudWatch acara untuk GuardDuty temuan

1. Buka CloudWatch konsol di https://console.aws.amazon.com/cloudwatch/.

2. Pilih Aturan dari panel navigasi, lalu Buat Aturan.

3. Dari menu Nama Layanan, pilih GuardDuty.

4. Dari menu Event Type, pilih GuardDutyFinding.

5. Pada bagian Pratinjau Pola Peristiwa, pilih Edit.

6. Tempel kode JSON berikut ke Pratinjau Pola Peristiwa dan pilih Simpan

   {
     "source": [
       "aws.guardduty"
     ],
     "detail-type": [
       "GuardDuty Finding"
     ],
     "detail": {
       "severity": [
         4,
         4.0,
         4.1,
         4.2,
         4.3,
         4.4,
         4.5,
         4.6,
         4.7,
         4.8,
         4.9,
         5,
         5.0,
         5.1,
         5.2,
         5.3,
         5.4,
         5.5,
         5.6,
         5.7,
         5.8,
         5.9,
         6,
         6.0,
         6.1,
         6.2,
         6.3,
         6.4,
         6.5,
         6.6,
         6.7,
         6.8,
         6.9,
         7,
         7.0,
         7.1,
         7.2,
         7.3,
         7.4,
         7.5,
         7.6,
         7.7,
         7.8,
         7.9,
         8,
         8.0,
         8.1,
         8.2,
         8.3,
         8.4,
         8.5,
         8.6,
         8.7,
         8.8,
         8.9
       ]
     }
   }

   catatan

   Kode di atas akan memberikan peringatan untuk setiap temuan dengan tingkat Medium hingga Tinggi.

7. Di bagian Target, klik Tambah Target.

8. Dari menu Pilih Target, pilih Topik SNS.

9. Untuk bagian Pilih Topik, pilih nama topik SNS yang Anda buat di Langkah 1.

10. Konfigurasi input untuk peristiwa tersebut.

    • Jika Anda mengatur notifikasi untuk Chime atau Slack, lewati ke Langkah 11, tipe input default untuk Peristiwa yang cocok.

    • Jika Anda mengatur notifikasi untuk email melalui SNS, ikuti langkah-langkah di bawah ini untuk menyesuaikan pesan yang dikirim ke kotak masuk menggunakan langkah-langkah berikut:

    1. Perluas Konfigurasi input lalu pilih Transformer Input.

    2. Salin kode berikut dan tempelkan ke bidang Jalur Input.

       
       {
           "severity": "$.detail.severity",
           "Account_ID": "$.detail.accountId",
           "Finding_ID": "$.detail.id",
           "Finding_Type": "$.detail.type",
           "region": "$.region",
           "Finding_description": "$.detail.description"
       }
                                   

    3. Salin kode berikut dan tempelkan ke bidang Templat Input untuk memformat email.

       
       "AWS <Account_ID> has a severity <severity> GuardDuty finding type <Finding_Type> in the <region> region."
       "Finding Description:"
       "<Finding_description>. "
       "For more details open the GuardDuty console at https://console.aws.amazon.com/guardduty/home?region=<region>#/findings?search=id%3D<Finding_ID>"
                                   

11. Klik Konfigurasi Detail.

12. Pada halaman Konfigurasi detail aturan, masukkan Nama dan Deskripsi untuk aturan, lalu pilih Buat Aturan.

Membuat aturan dan target CloudWatch Acara untuk GuardDuty (CLI)

Prosedur berikut menunjukkan cara menggunakan AWS CLI perintah untuk membuat aturan CloudWatch Events dan target untuk GuardDuty. Secara khusus, prosedur ini menunjukkan kepada Anda cara membuat aturan yang memungkinkan CloudWatch untuk mengirim peristiwa untuk semua temuan yang GuardDuty menghasilkan dan menambahkan AWS Lambda fungsi sebagai target aturan.

catatan

Selain fungsi Lambda, GuardDuty dan CloudWatch mendukung jenis target berikut: instans Amazon EC2, aliran Amazon Kinesis, AWS Step Functions tugas Amazon ECS, mesin status, perintah, dan target bawaan. run

Anda juga dapat membuat aturan dan target CloudWatch Acara GuardDuty melalui konsol CloudWatch Acara. Untuk informasi selengkapnya dan langkah-langkah mendetail, lihat Membuat aturan CloudWatch Acara yang memicu peristiwa. Di bagian Sumber Daya Peristiwa, pilih GuardDuty untuk Nama layanan dan GuardDuty Finding untuk Tipe Peristiwa.

Untuk membuat aturan dan target

1. Untuk membuat aturan yang memungkinkan CloudWatch untuk mengirim peristiwa untuk semua temuan yang GuardDuty dihasilkan, jalankan perintah CloudWatch CLI berikut.

   AWS events put-rule --name Test --event-pattern "{\"source\":[\"aws.guardduty\"]}"

   penting

   Anda dapat menyesuaikan aturan Anda lebih lanjut sehingga menginstruksikan CloudWatch untuk mengirim peristiwa hanya untuk subset dari temuan GuardDuty yang dihasilkan. Subset ini didasarkan pada atribut temuan atau atribut yang ditentukan dalam aturan. Misalnya, gunakan perintah CLI berikut untuk membuat aturan yang memungkinkan CloudWatch untuk hanya mengirim peristiwa untuk GuardDuty temuan dengan tingkat keparahan 5 atau 8:

   AWS events put-rule --name Test --event-pattern "{\"source\":[\"aws.guardduty\"],\"detail-type\":[\"GuardDuty Finding\"],\"detail\":{\"severity\":[5,8]}}"

   Untuk tujuan ini, Anda dapat menggunakan salah satu nilai properti yang tersedia di JSON untuk GuardDuty temuan.

2. Untuk melampirkan fungsi Lambda sebagai target untuk aturan yang Anda buat di langkah 1, jalankan perintah CLI berikut CloudWatch .

   AWS events put-targets --rule Test --targets Id=1,Arn=arn:aws:lambda:us-east-1:111122223333:function:<your_function>

   catatan

   Pastikan untuk mengganti <your_function>perintah di atas dengan fungsi Lambda Anda yang sebenarnya untuk acara tersebut. GuardDuty

3. Untuk menambahkan izin yang diperlukan untuk memanggil target, jalankan perintah CLI Lambda berikut.

   AWS lambda add-permission --function-name <your_function> --statement-id 1 --action 'lambda:InvokeFunction' --principal events.amazonaws.com

   catatan

   Pastikan untuk mengganti <your_function>perintah di atas dengan fungsi Lambda Anda yang sebenarnya untuk acara tersebut. GuardDuty

   catatan

   Dalam prosedur di atas, kita menggunakan fungsi Lambda sebagai target untuk aturan yang memicu CloudWatch Peristiwa. Anda juga dapat mengonfigurasi AWS sumber daya lain sebagai target untuk memicu CloudWatch Peristiwa. Untuk informasi selengkapnya, lihat PutTargets.

CloudWatch Acara untuk lingkungan GuardDuty multi-akun

Sebagai GuardDuty administrator Aturan CloudWatch acara di akun Anda akan dipicu berdasarkan temuan yang berlaku dari akun anggota Anda. Ini berarti bahwa jika Anda mengatur pemberitahuan temuan melalui CloudWatch Acara di akun administrator Anda, sebagaimana dirinci di bagian sebelumnya, Anda akan diberitahu tentang temuan tingkat keparahan tinggi dan menengah yang dihasilkan oleh akun anggota Anda selain milik Anda sendiri.

Anda dapat mengidentifikasi akun anggota GuardDuty tempat temuan berasal dengan accountId bidang detail JSON temuan.

Untuk mulai menulis aturan peristiwa kustom untuk akun anggota tertentu dalam lingkungan Anda di konsol, buat aturan baru dan tempelkan templat berikut ke Pratinjau Pola Peristiwa, dan tambahkan ID akun dari akun anggota yang ingin Anda gunakan untuk memicu peristiwa.

{
  "source": [
    "aws.guardduty"
  ],
  "detail-type": [
    "GuardDuty Finding"
  ],
  "detail": {
    "accountId": [
      "123456789012"
    ]
  }
}
         

catatan

Contoh ini akan memicu pada setiap temuan untuk ID akun yang terdaftar. Beberapa ID dapat ditambahkan, dipisahkan dengan koma mengikuti sintaks JSON.